安全測試不同于滲透測試,滲透測試側重于幾個點的穿透攻擊,而安全測試是側重于對安全威脅的建模,系統的對來自各個方面,各個層面威脅的全面考量。這里就跟大家聊聊滲透測試與安全測試的區別。
CDN防御策略:http://www.xcwl17.com/network/cdn.html
滲透測試與安全測試的區別:
安全測試可以告訴您,您的系統可能會來自哪個方面的威脅,正在遭受哪些威脅,以及您的系統已經可抵御什么樣的威脅。當然,安全測試涵蓋滲透測試的部分內容。安全測試與滲透測試的區別主要在:
滲透測試(Penetration
test)即安全工程師模擬黑客,在合法授權范圍內,通過信息搜集、漏洞挖掘、權限提升等行為,對目標對象進行安全測試(或攻擊),最終找出安全風險并輸出測試報告。
從上面這句話可以看出,我們并沒有對「目標對象」進行范圍限制,而當前人類的 IT 基礎設施就涵蓋了
Web、移動、云計算、物聯網、大數據、人工智能等各個領域,這樣的話,滲透測試的對象有可能是企業網站、業務系統、移動 APP、WiFi 熱點、Docker
容器、AI 機器人……
因此,滲透測試的核心思想,其實就是一個,即:萬物即可 Hack !
而 「Web 安全」的技術范疇,核心點主要是圍繞 Web 技術展開,涉及客戶端、服務端、數據庫、通信協議等安全問題。
在我們實際的 紅藍對抗 或 滲透測試 項目中,Web 安全僅僅是一個口子… 畢竟,在 IT 互聯網時代,任何一家有數據價值的企業,或多或少都會通過
Web 站點提供服務。
從 Hacker 工作流來看:只要有攻擊面,就有可能拿下 -> 只要拿下 Web,就有可能拿下主機 -> 只要拿下主機,就有可能到內網
……
滲透測試與安全測試的區別:
Web 安全僅僅是滲透測試的一個小分支。滲透測試考慮的是以黑客方法,從單點上找到利用途徑,證明你有問題,幫助客戶提高認識,也能解決急迫的一些問題,但無法也不能去針對系統做完備性的安全測
試,所以難以解決系統自身實質性的安全問題,所以提供滲透測試的廠商一般都是自己買什么防護設備,以自己防護設備針對的威脅為主要滲透點,找到你有類似的
問題,解決方案就以賣對應的防護設備作為手段,針對具體的威脅,通過防護設備采取被動的防護。而安全測試的廠商,則從整體系統
架構,安全編碼,安全測試,安全測試覆蓋性,安全度量等多個因素去考慮問題,提出的解決方法則是逐步幫助客戶引入安全開發過程,提供相應的工具支撐,目標
是最后讓客戶提升業務系統自身實質性安全問題。
安全測試首先會對被測試系統做系統分析,分析其架構,軟件體系以及程序部署等等,然后再對被測系統做系統安全分析,在這之后會對系統進行安全建模,明確本系統可能來自的各個潛在威脅,之后需要剖析系統,確認有哪些攻擊界面,根據測試方案進行測試。
安全測試只關注漏洞的可利用性分析,但不關注漏洞如何被真實利用的技術,這當中有幾個因素:
1、成本因素:對攻擊者來說,利用漏洞的收益是系統所保護的資產,所以可以投入更多的成本來研究漏洞的利用,包括時間,人員,手段。但是對安全測試來說,整個收
益是客戶愿意投入的成本,系統所保護的資產遠大于系統開發投入,安全投入又只占系統開發投入的百分之三左右,所以從成本角度考慮,安全測試只關注評估漏洞
被利用的可能性,而不應該具體去研究漏洞如何被利用且展示給客戶。
2、視角因素:安全測試是幫助客戶降低安全威脅,減少安全漏洞。本身是一種防護技術,盡量發現安全問題并指導客戶修復安全問題是關鍵,沿著的路徑是發現
安全問題->分析評估安全問題-〉提出修補建議-〉度量安全,而不是以攻擊者視角發現安全問題-〉利用安全問題-〉獲得非法收益的路徑。對防護方最
有價值的是發現問題,解決問題,而不是發現問題,利用問題。防護方關注都漏洞是否可被利用確定安全漏洞和修復級別就夠了,研究再多的具體攻擊利用技術,對
操作系統級別的防護是有意義的,但是對普通應用系統的開發與使用者則是無價值的。
3、假定因素:客戶面臨的風險不僅來自于外部,也可能來自于攻擊者通過客戶端主機的滲透(如通過對某員工筆記本掛馬再接入內網的方式),還有可能來自于內部。安
全要保護全面的安全,我們不能假定攻擊者路徑就一定處于同滲透測試一樣的純外部嚴密防護中,也無法假定攻擊者通過時間積累社工或自身特性(員工)獲取到一
些信息。同時攻擊利用技術發展到現在,已經和具體應用的特性結合起來,攻擊者時刻有可能發現以前我們認為低危,不好利用的漏洞的利用方法。因此安全測試關
注點是業務系統在失去所有外部防護之后,自身實現的安全性,關注高覆蓋的安全測試和安全度量,而不是單一的滲透測試。
通過上面的技術和招聘需求分析,我們就可以得出一點,即:只要搞定了 Web 安全,基本就能找到工作,并且還可以基于此深入學習滲透測試。
如果你是新手甚至是零基礎的話,建議從 Web 安全學起。相比其他方向,Web
安全對新手友好、學習資源眾多,當前的招聘市場需求也足夠廣闊,稱得上「投入時間較短找到工作較易」。
關于滲透測試與安全測試的區別就介紹到這里。當然,安全技術也好,滲透測試也罷, Web
安全僅僅是我們踏入這個圈子的口子,再此基礎上,不斷持續學習努力成為全棧,才是真道理。
上一篇:
CSRF攻擊原理,如何防范
下一篇:
云服務器的購買需要注意以下兩點
